Проведення аудиту системи менеджменту інформаційної безпеки

Інформація про навчальний заклад

ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
Не вказано
Кафедра:
Не вказано

Інформація про роботу

Рік:
2012
Тип роботи:
Курсова робота
Предмет:
Інші

Частина тексту файла

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» ІКТА кафедра ЗІ Курсова робота на тему: «Проведення аудиту системи менеджменту інформаційної безпеки» План Вступ. Підготовка аудитора. Вступна нарада. Документи на аудит. Методика аудиту. Оцінка аудиту, звітність. Висновок. Література. 1.Вступ Аудит інформаційної безпеки – це системний процес одержання об'єктивних якісних і кількісних оцінок поточного стану безпеки інформаційної системи або інформаційно-телекомунікаційної системи, комплексна оцінка рівня інформаційної безпеки замовника з урахуванням трьох основних факторів: персоналу, процесів та технологій. Порівняльний аналіз поточного стану інформаційної системи, що визначається за підсумками анкетування, з тестовою моделлю вимог стандарту ISO 27001. Проведення аудиту та надання інших аудиторських послуг здійснюється аудиторами, аудиторськими фірмами, які набули права на здійснення аудиторської діяльності відповідно до Закону України «Про аудиторську діяльність». Аудитором може бути фізична особа, яка має сертифікат, що визначає її кваліфікаційну придатність на заняття аудиторською діяльністю на території України. Згідно міжнародного стандарту ISO/IEC 27006 -2008 керівництво  органу  сертифікації повинно провести необхідні процедури та ресурси для  визначення  компетентності окремих аудиторів щодо завдань, які вони повинні виконати в області сертифікації, в рамках якої вони діють. Компетентність аудиторів може бути  встановлена ​​на основі підтвердженого досвіду чи  спеціального навчання або шляхом співбесіди. 2. Підготовка аудитора Підготовка аудитора полягає у його обізнаності в сфері проведення сертифікації. Для якісної оцінки аудитор повинен бути перевірений на: - знання стандарту СМІБ та інших відповідних нормативних документів; розуміння питань інформаційної безпеки; - розуміння оцінки ризику та менеджменту ризику з точки зору діяльності; - технічні знання про діяльність, що підлягає аудиту; - знання систем менеджменту; - загальне знання нормативних вимог щодо СМІБ;; - розуміння принципів аудиту, заснованих на ИСО 19011:2002; - знання аналізу ефективності СМІБ та вимірювання ефективності засобів контролю. При необхідності аудиторська група може доповнятись технічними експертами, які повинні володіти спеціальними знаннями в області технології, що підлягає аудиту. Необхідно зазначити, що технічних експертів не можна використовувати замість аудиторів СМІБ. але вони можуть консультувати аудиторів з питань технічної адекватності в контексті системи менеджменту, яка піддається аудиту. 3. Вступна нарада На вступній нараді оголошуються етапи робіт,які проводитиме аудитор ,а саме: ·         обстеження об’єкту сертифікації; ·         аналіз інформаційних ризиків; ·         обробка даних та підготовка рекомендацій; ·         складення та надання звіту про аудит. Встановлюються області проведення аудиту,інформація до якої аудитор має право доступу,термін проведення сертифікації. 4. Документи на аудит Орган сертифікації повинен надати кожній зі своїх організацій-клієнтів, чия  СМІБ сертифікується, документи з сертифікації, як лист або сертифікат, підписаний уповноваженою посадовою особою. Для організації-клієнта і кожної з її сертифікованих інформаційних систем ці документи повинні  визначати область дії сертифікації та складу стандарту ISO / IEC  27001 по СМІБ , за яким ця СМІБ сертифікована. Крім того, в сертифікаті має бути посилання  на певну версію Положення про застосування. Список сертифікованих клієнтів. Застосовуються вимоги ISO / IEC 17021:2006. Посилання на сертифікацію та використання маркування. Застосовуються вимоги ISO / IEC 17021:2006.  Крім того, застосовуються ще деякі специфічні для СМІБ вимоги і положення. Доступ до документів організації Перед проведенням аудиту орган сертифікації повинен зробити запит організації-клієнта про наявність документів про СМІБ , які не можуть бути надані для перевірки аудиторської групи, так як вони містять  конфіденційну  або секретну інформацію. О...
Антиботан аватар за замовчуванням

17.03.2013 13:03

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, увійдіть або зареєструйтесь.

Завантаження файлу

Якщо Ви маєте на своєму комп'ютері файли, пов'язані з навчанням( розрахункові, лабораторні, практичні, контрольні роботи та інше...), і Вам не шкода ними поділитись - то скористайтесь формою для завантаження файлу, попередньо заархівувавши все в архів .rar або .zip розміром до 100мб, і до нього невдовзі отримають доступ студенти всієї України! Ви отримаєте грошову винагороду в кінці місяця, якщо станете одним з трьох переможців!
Стань активним учасником руху antibotan!
Поділись актуальною інформацією,
і отримай привілеї у користуванні архівом! Детальніше

Оголошення від адміністратора

Антиботан аватар за замовчуванням

пропонує роботу

Admin

26.02.2019 12:38

Привіт усім учасникам нашого порталу! Хороші новини - з‘явилась можливість кожному заробити на своїх знаннях та вміннях. Тепер Ви можете продавати свої роботи на сайті заробляючи кошти, рейтинг і довіру користувачів. Потрібно завантажити роботу, вказати ціну і додати один інформативний скріншот з деякими частинами виконаних завдань. Навіть одна якісна і всім необхідна робота може продатися сотні разів. «Головою заробляти» продуктивніше ніж руками! :-)

Новини